[发明专利]基于Bi-LSTM和自注意力的恶意代码检测方法及系统

权利要求书

1.一种基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，包含如下内容：

将恶意代码转换为长度统一的字节流序列，每个字节元素利用多维独热编码表示；

采用双向长短时记忆Bi-LSTM模型自动学习字节流序列特征，并输出各时间步的隐状态；

利用自注意力机制对各时间步隐状态分配权重，将各隐状态的线性加权和作为样本序列的深层特征表示；

对该深层特征表示进行全连接神经网络学习和分类，输出样本预测概率。

2.根据权利要求1所述的基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，Bi-LSTM模型利用字节序列当前位置上下文隐状态信息自动学习序列特征，输出各时间步的隐状态。

3.根据权利要求1所述的基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，针对字节流序列，构建用于恶意代码检测的神经网络模型，其中，该神经网络模型包含：用于输出各时间步隐状态的Bi-LSTM层、用于输出深层特征表示的自注意力层、及用于对深层特征表示进行学习分类的全连接和分类层。

4.根据权利要求1～3任一项所述的基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，Bi-LSTM包含前向LSTM和后向LSTM，当前时刻的隐状态输出由前向LSTM和后向LSTM输出拼接而成，利用LSTM的隐状态线性加权求和将不同长度的序列编码为固定长度的嵌入表示，字节流序列自动学习结束后，根据输出得到隐状态集合。

5.根据权利要求4所述的基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，自注意力机制将隐状态集合作为输入，通过在softmax函数中设置权重矩阵和参数向量，输出注意力权重分配向量；按照该注意力权重分配向量将隐状态集合线性加权求和，得到作为样本序列深层特征表示的状态测量序列嵌入表示。

6.根据权利要求5所述的基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，自注意力机制表示为：a＝softmax(w_s2tanh(W_s1H^T))，其中，H为作为输入的隐状态集合，a为作为输出的注意力权重分配向量，W_s1是维数为d_a×2u的权重矩阵，w_s2是维数为d_a的参数向量，d_a为一个超参数，u为前向和后向的LSTM隐藏节点个数。

7.根据权利要求6所述的基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，针对字节流序列S，依据序列特征通过扩展参数向量维度来扩展注意力权重分配向量，以通过增强注意力来获取代表不同维度特征的嵌入表示，将该不同维度特征的嵌入表示作为样本序列深层特征表示。

8.根据权利要求7所述的基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，注意力权重分配向量的扩展表示为：A＝softmax(W_s2tanh(W_s1H^T))，其中，依据序列r个方面特征设定w_s2的维度扩展为r×d_a并记作W_s2，向量a扩展为注意力权重分配矩阵A；则不同维度特征的嵌入表示M＝AH，M为r×2u的矩阵。

9.根据权利要求1所述的基于Bi-LSTM和自注意力的恶意代码检测方法，其特征在于，将样本序列深层特征表示输入全连接和分类进行神经网络学习和分类，输出样本预测概率，其中，学习分类过程表示为：Y＝softmax(W_fM+b)，其中，W_f是全连接层的权重矩阵，b为偏置，Y为分类层输出概率结果，M为样本序列深层特征表示。

10.一种基于Bi-LSTM和自注意力的恶意代码检测系统，其特征在于，包含：代码转换模块、序列学习模块、权重分配模块和分类学习模块，其中，

代码转换模块，用于将恶意代码转换为长度统一的字节流序列，每个字节元素利用多维独热编码表示；

序列学习模块，用于采用双向长短时记忆Bi-LSTM模型自动学习字节流序列特征，并输出各时间步的隐状态；

权重分配模块，用于利用自注意力机制对各时间步隐状态分配权重，将各隐状态的线性加权和作为样本序列的深层特征表示；

分类学习模块，用于对该深层特征表示进行全连接神经网络学习和分类，输出样本预测概率。